一种移动互联网数字内容版权保护共享域管理方法

一种移动互联网数字内容版权保护共享域管理方法
【技术领域】
[0001] 本发明涉及数字出版领域，主要用于在移动互联网的环境下，多个终端设备构成 一个共享域，采用一种移动互联网数字内容版权保护共享域管理方法实现对数字内容在共 享域内的数字资源安全共享。
【背景技术】
[0002] 网络技术的移动化、智能化、融合化快速发展使得数字化内容的存储、传输、交换、 分发变得越来越容易。但由于缺乏有效的版权保护技术和合理的业务模式，使得数字化资 产的在使用过程中存在严重的盗版、侵权和泄密现象，这严重损害了数字化内容提供者、数 字化资产权利人等的相关权益。针对数字内容的非法复制、扩散和数据泄密以及违背版权 的误用，研宄有价值数字化内容版权管理方案。
[0003] 数字版权保护（DRM)技术是对数字内容在信息网络中生产、传输、交易、使用过程 中的各方权利进行明确的定义、辨别、交易、保护、监控和跟踪的全面解决方案，成为数字出 版不断发展的基本保障之一。
[0004] 本发明提出一种移动互联网数字内容版权保护共享域管理方法，在数字内容被保 护的条件下，控制受保护的数字内容在多个移动终端设备之间的传播和使用。将多个移动 终端设备加入同一个域，统一管理域设备及域的资源，通过域的机制，实现对域的管理，对 域内设备的管理，同时保证域共享资源的安全。

【发明内容】

[0005] 数字内容共享域是拥有共同域密钥的所有设备，同一部门中拥有的移动终端设备 组成共享域，每个用户合法获得的受保护的数字内容可以在域中各设备间无缝地流动，实 现资源共享。不同的域之间受保护的数字内容的传输有严格的限制，需要经服务器认证。本 专利研宄在数字内容版权保护的过程中对数字内容安全域密钥进行有效管理，保证域密钥 在生成、存储、更新、吊销过程密钥的安全性和有效性。
[0006] 数字内容共享域有以下特点：
[0007] (1)-旦共享域形成且用户终端加入共享域，该共享域中任何用户终端合法获得 的受保护的数字内容和授权都可以与共享域中所有的用户终端共享，属于某个共享域的所 有用户可以离线共享绑定到该域的版权，而不必重新向服务端申请。
[0008] (2)同一域内，采用用户标识和设备标识相结合的方式进行身份识别，实现权限控 制。不同的用户角色拥有不同的权限，实现受保护的数字内容细粒度的访问控制。
[0009](3)引入域证书，由服务端向用户发放域证书，用来控制共享域中用户对共享电子 文档的使用。域证书包括域标识、管理者标识、管理者签名参数、域类型、发布时间以及管理 者的签名。
【附图说明】
[0010] 图1移动互联网数字内容保护系统架构图
[0011] 图2移动互联网数字内容保护系统密钥管理逻辑结构图
[0012] 图3移动互联网数字内容保护系统实现效果图
[0013]图4移动互联网数字内容保护系统移动客户端播放器实现效果图
【具体实施方式】
[0014] 1.系统参数定义
[0016] 2.域创建及注册协议
[0017]St印1域创建者A向域管理服务器提交建立一个新域的申请，发送用户名AID及设 备硬件信息CID。
[0018] A- > DS：Epk s (AID | | CID | | Request_CreatDomain)
[0019]St印2服务端域管理服务器收到申请后，解密获得用户A的用户名AID及设备信 息CID，查询该终端是否归属于某个域，如未有归属的域，则同意用户A的申请；否则拒绝申 请。
[0020] DS :Dsk s (AID | | CID | | CreateDomain Request)
[0021] If (AID DID)Agree the request
[0022] Else refuse the request
[0023]Step3域创建者收到服务端的响应后，发送域标识符DID，域用户列表Potential userlist等参数给服务端。
[0024] A- > DS：Epks(DID| |Potential_user list)
[0025]St印4服务端收到用户列表后，对域DID进行域的参数设置，并创建设备域DID的 列表：设备申请调入域列表、潜在设备入域列表以及用户设备列表，域DID创建完成。
[0026] DS：create(Applying_userlist||Potential_userlist||Domain_userlist)
[0027] St印5 DS发送域创建成功响应给用户A。
[0028] DS- > A：Success_response
[0029] 3.用户入域协议
[0030] 用户申请入域协议主要用于用户设备加入共享域，新的用户设备加入域后，密钥 管理器需要进行域密钥更新，域管理器需要生成新的域证书分发给域内所有用户，并提交 更新的信息给数据库服务器。
[0031] 用户设备申请入域有两种方式：（1)用户向服务端申请入域时，已经是潜在用户 设备列表中的用户，则不需要域管理者进行在线审核，直接入域，服务端将用户设备信息添 加到域用户设备列表；（2)用户设备不是潜在用户设备列表中的用户，向服务端发出申请 入域请求，用户设备信息将被添加到设备申请入域列表，由域管理者对其设备信息进行在 线审核，审核通过后，服务端将用户设备加入到域用户设备标识列表中。
[0032]Applying_userlist:设备申请入域列表。当设备申请入域时，服务端将设备信息 记录到设备申请入域列表，由域管理者进行在线审核设备是否有资格加入域。
[0033]Potential_userlist:潜在设备入域列表。由域管理者创建，当用户申请入域 时，DS将检索潜在设备入域列表，如果存在，则直接接受用户入域请求，而无需返回给域管 理者审核；如果不在，则将用户信息记录到设备申请入域列表。
[0034]Domain_userlist:域用户设备列表。记录域中所有的用户，当用户设备成功入域 后，用户设备将被添加到用户设备列表，用于生成域证书。
[0035] Step1用户U向服务端发送入域申请，提交用户标识WD，设备信息CID，以及申请 加入的域标识DID。
[0036]U- >DS:Epks (Request_JoinDomain| |UID| |CID| |DID)
[0037] St印2DS解密获得用户信息，验证用户提交的信息，检索用户是否存在于 Potential-user list〇
[0038] (1)如果不存在，则
[0039] ①DS:将用户设备信息添加到设备申请入域列表，等待域管理者在线审核，返回 等待信号给用户U。
[0040]DS- >A：UpdateApplyinguser_list
[0041]DS- >A：ffaitresponse
[0042]②A:解密获得用户信息，审核用户U的信息，通过用户UID及CID判断用户是否 有资格加入域DID，将审核结果返回给DS。
[0043]③DS:如果审核通过，贝I」更新Domain_userlist;否则，将拒绝用户U的申请。
[0044]DS：UpdateDomain_userlist
[0045] (2)如果存在于用户列表，则进行St印3。
[0046] St印3域证书分发阶段
[0047] (1)DS:将用户U的UID和CID提交给KS，调用域密钥分发算法，生成用户U的个 人解密密钥dk_U，上传给CS。
[0048] (2)CS:由CS为域DID生成域证书D_License〇
[0049]D_License= {DID||SID||AID||User_list||Pub_time||dk_U}
[0050] (3)DS:DS对域证书进行签名，并以用户U的公钥进行加密，传输给U。
[0051] DS->U：EpkA(SigDS (D_License))
[0052] (4)Database_S:将域ID、域证书发放时间、域用户列表及相关参数、域版本号写 入数据库。
[0053] 4.用户撤域协议
[0054] 用户撤域主要存在两种情况：（1)用户主动申请撤域；（2)用户被动撤域，服务端 强制性要求用户退出域。用户撤域后，密钥管理器需要进行域密钥更新，域管理器需要生成 新的域证书分发给域内所有用户，并提交更新的信息给数据库服务器。
[0055]Step1申请阶段
[0056] (1)用户主动申请撤域
[0057] ①用户U向服务端发送撤域申请，提交用户标识nD、设备信息CID，以及申请退出 的域标识DID。
[0058] U- >DS:Epk_S(Request_ExitDomain||UID||CID||DID)
[0059] ②DS解密获得用户信息，验证用户提交的信息，检索用户信息是否存在于域DID 用户列表内。如果未存在，则返回错误信息给用户，终止该协议。否则，执行域证书更新阶 段。
[0060] (2)用户被动撤域
[0061]DS向用户U发出离域通知，并从域用户列表中删除其设备信息。
[0062] Step2域证书更新阶段
[0063] (1)DS:将更新后的域用户设备信息，提交由KS更新域密钥key_Domain，上传给 CS〇
[0064] (2)CS:由CS为域DID生成域证书D_License〇
[0065] D_License= {DID||SID||AID||User_list||Pub_time||key_Domain}
[0066] (3)DS:DS对域证书进行签名。
[0067] DS：SigDS(D_License)
[0068] (4)Database_S:将域ID，域证书发放时间，域用户列表及相关参数，域版本号写 入数据库。
[0069] St印3证书发放阶段
[0070] 域内其它用户设备在下次上线时，DS将发送新的域证书给用户。
[0071] DS->U1，U2，U3......，Un:
[0072] D_License= {DID||SID||AID||User_list||Pub_time||key_Domain}〇
【主权项】
1. 移动互联网数字内容版权保护共享域授权管理方法，其特征在于，支持多种授权策 略，包括： (1) 内容使用的时间限制，包括开始时间、结束时间和累计时长的限制； (2) 内容使用的次数限制； (3) -个内容多个授权； (4) 授权与用户和设备绑定； (5) 用户域和设备域，支持限制用户域内用户的数量和设备域内设备的数量； (6) 用户查看本地授权权限信息，包括许可、约束、优先级等； (7) -次申请，多次获取授权； (8) 支持反授权。2. 移动互联网数字内容版权保护共享域，其特征在于，包括： (1) 一旦共享域形成且用户终端加入共享域，该共享域中任何用户终端合法获得的受 保护的数字内容和授权都可以与共享域中所有的用户终端共享，属于某个共享域的所有用 户可以离线共享绑定到该域的版权，而不必重新向服务端申请。 (2) 同一域内，采用用户标识和设备标识相结合的方式进行身份识别，实现权限控制。 不同的用户角色拥有不同的权限，实现受保护的数字内容细粒度的访问控制。 (3) 引入域证书，由服务端向用户发放域证书，用来控制共享域中用户对共享电子文档 的使用。域证书包括域标识、管理者标识、管理者签名参数、域类型、发布时间以及管理者的 签名。
【专利摘要】一种移动互联网数字内容版权保护共享域管理方法，在数字内容被保护的条件下，控制受保护的数字内容在多个移动终端设备之间的传播和使用。将多个移动终端设备加入同一个域，统一管理域设备及域的资源，通过域的机制，实现对域的管理，对域内设备的管理，同时保证域共享资源的安全。不同的域之间受保护的数字内容的传输有严格的限制，需要经服务器认证。在数字内容版权保护的过程中对数字内容安全域密钥进行有效管理，保证域密钥在生成、存储、更新、吊销过程密钥的安全性和有效性。这种保护方式保障了数字内容可控可管地传播和有效利用，促进了信息环境健康发展。
【IPC分类】G06F21/10
【公开号】CN104899479
【申请号】CN201510364656
【发明人】马兆丰, 黄勤龙, 许艳萍, 邱宝林, 王真
【申请人】北京国泰信安科技有限公司
【公开日】2015年9月9日
【申请日】2015年6月29日